OpenClaw에서의 Symlink race 및 클라이언트 제어 가능 Auth header

네 가지 새로운 OpenClaw CVE에 관한 이 기술 보고서(writeup)를 읽었는데, 그중 몇 가지는 스크롤을 멈추게 만들었습니다. TOCTOU (Time-of-Check to Time-of-Use) 취약점들은 명확하면서도 흥미롭습니다. 샌드박스(sandbox)가 파일 경로를 검증하고, 그것이 허용된 루트(root) 내부에 있는지 확인한 다음, 파일을 엽니다. 두 번의 작업이 수행됩니다. 그 사이에 심볼릭 링크(Symlink) 교체가 일어납니다. 그러면 호스트의 무엇이든 읽거나 쓸 수 있는 권한을 얻게 됩니다. 2026년임에도 불구하고 우리는 여전히 파일 시스템 경로에 대해 '확인 후 사용(check-then-use)' 방식을 배포하고 있습니다. 하지만 저를 놀라게 한 것은 MCP 권한 상승(privilege escalation)이었습니다. 자식 프로세스(child process)가 루프백(loopback)을 통해 OpenClaw 서버에 다시 연결될 때, 서버는 HTTP 헤더를 확인하여 해당 프로세스가 소유자 권한을 가졌는지 결정합니다. 그 헤더의 값은 환경 변수(environment variable)에서 옵니다. 환경 변수는 자식 프로세스에 상속됩니다. 따라서 에이전트(agent) 내부에서 실행되는 문자 그대로 어떤 코드라도 OPENCLAW_MCP_SENDER_IS_OWNER=true를 설정할 수 있으며, 서버는 그냥... 그것을 믿어버립니다. 베어러 토큰(bearer token)에 대한 검증도, 아무것도 없습니다. 또한 exec 허용 목록(allowlist)을 우회하는 heredoc 확장을 통한 환경 변수 유출도 있는데, 이는 훌륭한 트릭입니다. 네 가지 취약점 모두 단일 샌드박스 발판으로부터 전체 런타임 제어(full runtime control)로 이어지도록 체이닝(chain)됩니다. 이미 패치되었습니다. 전체 기술 보고서(Full writeup)